远离网络威胁保护信息安全.PDF

远离网络威胁,保护信息安全 现代教育技术中心 课程内容 安全方针 信息安全 管理体系基础 信息安全组织 信息安全 资产管理 信息安全 管理体系建设 管理体系 人力资源安全 信息安全 控制措施 物理和环境安全 通信和操作管理 访问控制 信息系统获取、开发和维护 符合性 知识体 知识域 知识子域 2 资产清单  信息安全管理工作的直接目的是保护组织的资产  资产包括：  信息：业务数据、合同协议、科研材料、操作手册、系 统配置、审计记录、制度流程等  软件：应用软件、系统软件、开发工具  物理资产：计算机设备、通信设备、存储介质等  服务：通信服务、供暖、照明、能源等  人员  无形资产，如品牌、声誉和形象 3 (1)对资产负责 什么叫资产安全的适当保护 适当保护的意义：黑客破解系 统的代价高于该资产的价值， 那么我们认为这个资产是安全 的，而不需要对保护措施进行 无限的投入。 4 知识域：信息安全控制措施 知识子域： 人力资源安全  理解任用前控制目标的含义，掌握角色和职责、审查 等控制措施的实施方法  理解任用中控制目标的含义，掌握管理职责、信息安 全意识教育和培训等控制措施的实施方法  理解任用的终止或变化控制目标的含义，掌握终止职 责、撤销访问权等控制措施的实施方法  一句话：想方设法对不同角色和职责的人进行控制  本次课程最重要的内容 5 信息安全保障最大的风险：人 欢迎随时互动讨论 1、八卦一下近年大规模的信息安全事件 2、重点说说，信息安全最大风险-人 3、如何入侵一个系统 4、防范入侵的技巧 6 近年较为严重的网络入侵事件 利用漏洞入侵 永恒之蓝攻击-渗透测试带来的风险 Stuxnet （震网）蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这 是一款数据采集与监视控制（SCADA ）系统，被广泛用于钢铁、汽车、电力、 运输、水利、化工、石油等核心工业领域，特别是国家基础设施工程；它运行 于Windows平台，常被部署在与外界隔离的专用局域网中。 一般情况下，蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。 此次攻击与此截然相反，最终目标既不在开放主机之上，也不是通用软件。无 论是要渗透到内部网络，还是挖掘大型专用软件的漏洞，都非寻常攻击所能做 到。这也表明攻击的意图十分明确，是一次精心谋划的攻击。 Stuxnet蠕虫利用四个漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。 如此大规模的使用多种零日漏洞，并不多见。